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Prozessmessgerat mit erweiterter 
Hardwarefehlererkennung 

Die vorliegende Erfindung betrlfft ein Prozessmessgerat, insbesondere ein 
Prozessmessgerat mit erweiterter Hardwarefelilererl^ennung. 

Die Zertifizierung eines Prozessmessgerates nacii der Norm IEC61508; 
(SIL2) erfordert, dass am Gerat eventuell auftretende Hardware-Defelcte mit 
liolier Wahrsciieiniiclilceit erl<annt und als Fehlerzustand an einen 
[\/lesswertempfanger signalisiert werden. Der statistlsche Ante!! von Fehlern, 
die zu einer Icorrelcten Signalisierung des Fehlerzustands an den 
IS/lesswertempfanger fiilirt, wird SFF (nach dem englisciien Begrlff Safe 
Failure Fraction) bezeiclinet. 

Der vorliegenden Erfindung llegt daher die Aufgabe zugrunde, ein 
Prozessmessgerat mit einer Im Sinne einer iioiien 
Ericennungswalirsclieinliclilceit im Falle von Hardwarefelilem bereitzustelien. 

Statlstisclne Analysen der Felnierliauflglceit liaben ergeben, dass 

Insbesondere Prozessoren und andere iiochintegrierte Halbleiterbauteile, 

belspielsweise Speictier und ASICS, mafigeblicli zur statistisclien 
Gesamtausfaiirate eines Prozessmessgerates beitragen. 

Die Aufgabe wird geidst durcii ein Prozessmessgerat mit einem ersten 
Prozessor, welcher in ersten Verarbeitungszykien mit einem ersten 
Algorithmus eine Messwertverarbeitung durchfuhrt; und einen zweiten 
Prozessor, welcher hauptsachlidi fiir die Koordination und/oder 
Kommunilcatlon zustandig ist, 

wobei femer der zweite Prozessor in Zeilabstanden, die groBer sind als der 
erste Verarbeitungszyldus einen Kontrolldatensatz aus dem ersten 
Prozessor ausliest, und anhand des Kontrolldatensatzes den ersten 
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Algorithmus ausfuhrt und die korrekte Funktion des ersten Prozessors 
verifiziert. 

Der erste Prozessor ist vorzugsweise ein spezialisierter digltaler 
5 Signalprozessor mit sehr schnellen Verarbeitungszyklen. Der zweite 
Prozessor ist beispielsweise ein iVIicrocontroller, der erheblich klangsamer 
arbeitet als der digitale Signalprozessor. 

Der Kontrolldatensatz kann beispieisweise Rohmesswerte eines Sensors 
10 und Zustandsvariablen sowie die von dem ersten Prozessor daraus 
erreclineten zugeliorigen Ergebnlswerte enthalten. Die Verifizierung erfolgt 
beispielsweise durch direkten Vergielch des aus dem ersten Prozessor 
ausgelesenen Ergebnls mit dem Ergebnis aus der Durchfuhrung des ersten 
Algorithmus durch den zweiten Prozessor. 

15 

Der zweite Prozessor umfasst einen Programmspeicher. Zusatzlich kann 
der zweite Prozessor gemaR einer Weiterbildung der Erfindung seinen 
Programmspeicher mittels einer Prufsumme Oder einem CRC (nach 
englischen Begriff Cyclic Redundancy Check) regelmaliig verifizieren. 

20 

I Der zweite Prozessor umfasst weiterhin einen Schreib/Lesespeicher, den 
der zweite Prozessor gemali einer Weiterbildung der Erfindung mittels 
Testpattern regelmaliig auf statische Fehler uberpriifen kann. 

25 Der zweite Prozessor umfasst zudem ein Rechenwerk, einen 
Schreib/Lesespeicher, welchen der zweite Prozessor gemafi einer 
Weiterbildung der ErTindung mittels Prufalgorithmen regelma&ig auf 
statische Fehler uberprufen kann. 



30 In einer Weiterbildung der Erfindung kann der zweite Prozessor die Daten 
Im Programmspeicher des ersten Prozessors mit eInem lokal gespiegelten 
Speicherbeneich vergleichen und verifizieren. 
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Nach einem Aspekt der Erfindung kann der zwelte Prozessor bekannte 
Konstanten im Datenspelcher des ersten Prozessors durch Vergleich mit 
lokal gesplegelten Werten verlfizieren. 

Nach einem welteren Aspekt der Erfindung kann, der zweite Prozessor 
Konfigurationsregister des ersten Prozessors durcli Vergleich mit lokal 
gesplegelten Werten rsgelmafllg verifizleren. 

In einer Ausgestaltung der Erfindung umfasst das Prozessmessgerat eine 
4..20 mA Zweitdraht-Schnittstelle. Optional kann eIne Watchdog-Schaltung 
die Funktion des zweiten Prozessors und eines zugehSrIgen Taktgebers 
uberpriifen und Im Fehlerfell unabhangig von dem ersten Prozessor und 
dem zweiten Prozessor uber deh 4..20 mA Signalstrom einen Fehler 
signallsieren. 

Die Erfindung wird nun an einem in den Figuren daigesteliten 
Ausfuhrungsbeispiel erISutert. Es zeigt: 

Fig. 1 : Ein Blockschaltblld der Gerateelektronik 

eInes erfindungsgemaden Druckaufnehmers; und 

Fig. 2: Ein Blockschaltbild zur Selbstubenwachung. 

Die In Fig. 1. dargestellte modulare Gerateelektronik des 
erfindungsgemaBen Druckaufnehmers umfasst eine Sensorelektronik 1 und 
eine Hauptelektronik 2. Die Hauptelektronik 2, verarbeitet Sensorsignale. 
welche uber eine serlelle Schnittstelle von einer Sensorelektronik 
empfangen werden. 
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Die Sensorelektronik umfasst Im einzelnen ein Sensor-ASIC 12 , dessen 
wesentliche Aufgabe es ist, Druck- sowie Temperaturslgnale einer 
Daickmesszelle 1 1 bzw. eines Primarsensors entgegenzunehmen und ggf. 
ihre Signalpegel zu normieren. Dazu stehen - je nach Messprinzip des 
Primarsensors - eine Stromquelle fur resistive Sensoren und eine kapazltive 
Sclinittstelle fiir kapazitive Drucksensoren zur Verfugung, an die jeweils 
absolut/relativ Oder Differenzdruokmesszellen angesclilossen werden 
konnen. Die Normierung erfolgt uber einstellbare Verstarker, sogenannte 
„Programmable Gain Amplifleres" (PGA), in den Ausfiilirungen als Differenz 
und Absolutverstarker. Danach werden die normlerten Werle analog/digital 
(A/D) gewandelt und uber eine serielle Schnlttstelle an die Hauptelektronik 2 
weltergegeben. Sensorspezlflsche Daten wie Kompensatlonskoeffizienten u. 
a. auf einem Sensor-EEPROM 13 abgelegt. 

Das ASIC 12 ist in der Lage, Oberlaufe in den intemen Verstarkern und A/D- 
Wandlem zu erkennen und diese ebenlalis uber die serielle Schnlttstelle in 
Fomi eines Fehlertelegramms an die Hauptelektronik 2 zu melden. 

Die Hauptelektronik 2 umfasst im wesentlichen folgende Komponenten: 

Einen Druckprozessor 21 (ASIC mit integriertem Digitalen Signal Prozessor 
(DSP)), der u. a. als serielles Interface zur Sensorelektronik 1 wirkt, deren 
Rohdaten empfangt, und daraus den Ausgangswert berechnet. Je nach 
Betriebsart kann der Ausgangswert entweder Druck, Fullstand oder 
Durchfluss reprasentieren. Das Rechenergebnis wird beispielsweise als 
pulsweitenmoduliertes Signal (PWM) bereitgestellt. Eine weitere 
Funktfonalitat des Prozessors 21 ist die Generierung des Taktsignals fur die 
komplette Messumformerelektronik. 

Die Hauptelektronik umfasst weiterhin einen Kommunikations-ASIC 22; 
dieser Baustein dient als Schnittetelle des Messumfomners zur AuBenwelt. 
In Ihm Integrlert ist ein DC/DCrWandler zur Stromversongung des gesamten 
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Gerates und ein Stromsteller, der aus dem PWM-Signal des 
Druckprozessors den entsprechenden Stromwert auf eine 4-20mA 
Stromschleife einpragt. Weiterhin sind in ihm eIn HART-Modem fiir die 
Kommunikation auf Feldebene, eine liociigenaue Spannungsreferenz sowie 
ein Hardware-Watchdog integriert. 

Weiterhin umfasst die IHauptelektronik einen Microcontroller 25, welcher fiir 
die Initiaiislerung des Messprozessors benotigtwird. Im Regelbetrieb wird 
uber ihn 

die Vor-Ort-Bedlenung mittels Taster bzw. Fembedlenung iiber HART 
realisiert. Zu diesem Zweck kann auch noch ein Display 23 vorgesehen sein. 

WeiterB Funktionen des Micixtcontrollers 25 k5nnen beispieiswelse 
Fehlerverarbeitung, Umrechnung der Messdaten in vom Benutzer 
eingestellte Einheiten, Triggem eines Watchdogs Im Kommunlkatlons-ASIC, 
Protokollieren von Min/Max-Werten und der Messberelchsuberschreltung, 
Summenzahlerfurden Modus ..Durchfluss", und Nichtfluchtige Datenhaltung 
sein. 

Beim Druckprozessor 21 handelt es sich um ein ASIC mit einem integrlerten 
digitalen Signalprozessor. Seine Starke liegt in der schnellen und auUerst 
energiesparenden Berechnung der Messwerte. Unter Vollast betragt die 
Stromaufnahme des Druckprozessors ca. 600 pA. 

Der Microcontroller 25 ist zwar prinziplell auch in der Lage, diese 
Berechnungen durchzufuhren, allerdings wiirde er bel gleicher 
Berechnungsgeschwindlgkeit ein VIelfaches an Energle verbrauchen; zu viel 
fur ein Gerat, das seine Versorgung aus einer 4-20mA Stromschleife 
bezieht Eingesetzt wird der Microcontroller in den Bereichen, wo es nicht 
auf zeltkritische Berechnungen ankommt. Dadurch Ist es mdglich, den 
Baustein mit einem stark reduzierten Takt zu betrelben, um den 
Stromverbrauch auf ein vertragiiches Mali zu senken. 
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Bei der Gerateinitialisierung ist folgende Besonderhelt zu beachten. Da es 
mehrere verschiedene Sensorbaugruppen und Hauptelektronikvarianten gibt, 
ware es ein zu grolier Aufwand, fur jede mogliche Kombination von Sensor 
und Elektronik eine passende Softwarelosung bereitzustellen. Dies wird 
dadurch umgangen, dass man die Software in zwei Teile auftrennt, namlich 
In einen sensor- und einen applikationsspezifischen Teil. 

Der sensorspezifische Tell Ist auf der Sensorelektronik In einem Sensor- 
EEPROM 13 gespelchert. Erhalt die SensorIk die ersten Taktslgnale von der 
Hauptelektronik, so llest sie Ihren Programnrrtell aus dem EEPROM aus und 
schlckt ihn uber die serielle Verblndung an die Hauptelektronik. Dort wIrd 
das Sensorprogramm vom IS/licrocontroller 25 aus dem DSP 21 ausgelesen 
und mit dem appllkationsspezifi-schen Programm verbunden, das er aus 
dem Programmspeicher der [Hauptelektronik erhalt. Die beiden 
Programmteile werden dann miteinander verbunden, d.h. die Offsets der 
Adressen im Speichier werden so verandert, dass verschiedene Variablen 
nicht die gleichen Speicherbereiclie verwenden. Nach Abschluss dieses 
Vorgangs wird das nun komplettierte Programm zurijck in den DSP 
gesclirieben. Danaoh werden lediglich nocli die Konfigurationsparameter der 
l\/iessumformung in den Datenspeiclier des DSP geiaden, der 
l\/Iessumformer ist nun einsatzbereit und berechnet aus den daraufliin 
eintreffenden Rohdaten die Messwerte. 

Die erfindungsgemaHen Druckaufneiimer erfiilien vorzugsweise die 
Anforderungen an Funktionale Siclierheit bis SIL 2 nacli lEC 61508. Die 
Norm stellt quantitative Anforderungen hinsichtllcli der Einhaltung von 
MIndestwerten fur sicherheitstechnische Kenngro&en wie Safe Failure 
Fraction (SFF) an die Gerate. Zur Erfiillung der quantitatjven Anforderungen 
(Z.B. SFF > 90%) sind in der Regel zusatzliche Diagnosemallnahmen und 
ObenAracliungsfunktlonen im Gerat erforderlich. Ober eIne FMEDA (Failure 
Mode, Effects and Diagnostics Analysis) der Elektronik auf 
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Komponentenebene mit nachfolgender Optimlerung wurde die 
Selbstuberwachung, deren Konzept im folgenden beschrieben ist, als 
Beltrag zur Erfullung der Sll-2 Norm identifiziert. 

Die Selbstuberwachung besteiit aus einem Softwarepal<et, mit dem unter 
anderem CRCs (Cyclic Redundancy Check) und Prufsummen von RAM und 
ROM des Microcontrollers sowie des EEPROM realisiert werden. 

Die Selbstuberwachung umfasst weiterhin eine stichprobenartlgen Kontrolie 
der Funktlon des DSP durch eine Kontroilrechnung im Microcontroller. Dazu 
mussen, wie In Fig. 2 gezeigt, die Eingangswerte und Zustandsvariablen 
sowie der Ausgangswert aus dem DSP 21 ausgelesen werden. Aus den 
Eingangswerten und den Zustandsvariablen wird der Ausgangswert 
berechnet, den der DSP ausgeben musste. Danach wird der gemessene mit 
dem berechneten Ausgangswert verglichen. Kommt es dabei zu Differenzen, 
so wird dies an ubergeordnete Kontrollinstanzen in der Software des 
Messumfonners gemeldet. die ihrerseits veranlassen, dass der 
Kommunikations-ASIC 22 ein Fehlersignal (HART) ausglbt. Anhand dieses 
Signals erkennt das Auswertegerat, an dem der Messumformer 
angeschlossen ist, den Geratefehler und leitet die notwendigen Malinahmen 
ein, wie eine Meldung zum Austausch des defekten Cerates. 

Der DSP 21 auf der Hauptelektronik fuhrt sehr schnelle Berechnungen 
durch. Urn nun diesen Baustein iiberwachen zu konnen, wird eine 
Baugruppe benotigt, die zumindest ebenso schneli die Berechnungen 
durchfuhren oder zumindest die Daten des DSP kann. Es wurde im 
vorllegenden AusfQhrungsbeispiel die SelbstubenA/achung durch den 
Miofocontroliers 25 gewShlt. Diese Losung beinhaitet die Kontroilrechnung 
seitens des Microcontrollers 25. Sie kommt ohne zusatzliche Hardware aus 
und sorgt dabei noch mit diversltarer Hardware fur eine erwelterte Sicherheit. 
Die geringere Gesch\Anndigkeit des Microcontrollers 25 verhindert es aber, 



8 



EH0674-DE 
23.12.2003 



die Berechnungen des DSP In Echtzelt durchzufuhren. Dies ist zu 
berucksichtigen. 

Der Microcontroller 25 fuhrt daher nur Stichproben durch. Der einzig 
zeitkritische Vorgang ist dabei das Einlesen der Zustandsvariablen 
(zwischengespeicherte Werte des letzten Melizyklus) und der Druck- und 
Temperaturrohdaten der Sensorelektronik sowie des berechneten 
Ausgangswertes des DSP 21. Die nachfolgende Berechnung des 
Ausgangswertes im |jC ist praktisch zeitunabhangig. sie kann beliebig oft 
durch andere Programmteile unterbrochen warden. 

Die Selbstubenwachung besteht in der Hauptsache aus drei Programmteilen: 
Einer Hauptroutine, der Erfassung der Messwerte, und einer eigenstandigen 
Berechnung nnit anschlie&endem Vengleich. Die komplette 
SelbstiibenA^achung ist in Form von Zustandsmaschinen realisiert, wobei fur 
die Erfassung und die Berechnung absichtlich zwei getrennte Prozesse 
eingesetzt werden. Dies ermogiicht eine unterschiedliche Priorisierung der 
beiden Vorgange auf interruptebene. Die i\/lesswerterlBSSung bedarf einer 
hohen Prioritat, um einen kompletten, gultigen Datensatz in der gegebenen 
Zeit einlesen zu konnen. Liefe dieser Prozess auf einer niedrigeren Ebene, 
wurde die Selbstuberwachung nicht funktionieren, da es aufgrund von 
Unterbrechungen nie zu einem kompletten Datensatz kame. Im Gegensatz 
dazu braucht die Berechnung keine hohe Prioritat, da sie keinem Zeitzwang 
unterliegt. 

Im sensor- und applikationsspezifischen Programm gibt es Jewells Variablen, 
die den Wert der vorherigen Messung enthalten (Dampfungswerte, 
Rauschfiiter). Dabei ist zu beachten, dass sich diese Werte sehr schnell 
andem, da ein kompletter Programmdurchlauf im DSP weniger als 10 ms 
dauert. Fiir die Kontnollrechnung sind die Zahlenwerte zum relevanten 
Zeitpunkt erforderlich, da sonst ein bitgenauer Verglelch nicht moglich ist. 
Dies wirel durch schnelles Einlesen der betrofFenen Variablen unter 
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Verwendung von ..Inline-Code" erreicht, also mit optimiertem Code auf 
Assembler-Ebene. der auf das Aufrufen von Registem und langwierige 
Stackoperationen verzichtet. 

5 Jedes neue Datenpaket, das den DSP erreicht, lost einen Interrupt aus, der 
sich auch fur die Synchronisation der Selbstubenwachung einsetzen lasst. In 
der Interrupt-Routlne wird bei jedem Aufruf automatlsch ein Zahler 
(Framecounter) inkrementiert. Als zusatzllche Funktionalitat ist das Einlesen 
der Statusvarlablen bei einem bestimmten Stand des Framecounters 
10 Integrlert. 

Die Messwerterfassung beinhaitet das Einlesen der Druck- und 
Temperatunverte des Sensor-ASIC, die zwlschengespeicherten Ergebnisse 
der vorangegangenen Berechnung sowie den berechneten Ausgangswert 
15 des DSP. Nach dem Einlesen der Werte ist zu Qberprufen, ob die 
eingelesenen Werte, tatsSchllch den gleichen Messzeitpunkt repr^sentieren. 

Anschlleilend wIrd das DSP-Programm vom Microcontroller 25 ausgefuhrt, 
um die Kontrollrechnung anhand der eingelesenen Daten durchzufuren. 
20 Nach dem Ende der Kontrollrechnung findet ein Vergleich von Rechen- und 
i Messwert statt. Stellt der Microcontroller eine zu grolie Differenz zwischen 
Rechen- und Messwert fest, wird das Kommunikations-ASIC angewiesen, 
einen Fehlerstrom auszugeben und bei Bedarf noch eine Fehlemneldung 
uber HART auszugeben. 
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Patentanspriiche 

Prozessmessgerat mit einem ersten Prozessor 21 , welcher in ersten 
Verarbeitungszyklen mit einem ersten Algorithmus eine 
Messwertverarbeitung durchfuhrt; und einen zweiten Prozessor 25, 
welcher Koordlnations und/oder Kommunikationsaufgaben walirnimmt, 
wobei ferner der zweite Prozessor 25 in Zeitabstanden, die grolier sind 
als der erste Verarbeitungszyklus einen Kontrolldatensatz aus dem 
ersten Prozessor 21 ausliest, und aniiand des Kontrolldatensatzes den 
ersten Algoritlimus ausfuhrt um die korrekte Funktion des ersten 
Prozessors zu verifizleren. 

Prozessmessgerat nacii Ansprucli 1, wobei der Kontroildatensatz 
Rohmesswerte eines Sensors und Zustandsvariablen sowie die von 
dem ersten Prozessor daraus errechneten zugeliorigen Ergebniswerte 
entlialt. 

Prozessmessgerat nacli Ansprucln 1 oder 2, wobei die Verifizierung 
durcli direkten Vergleich des aus dem ersten Prozessor 21 
ausgelesenen Ergebnis mit dem Ergebnis aus der Durciifulirung des 
ersten Algorithmus durch den zweiten Prozessor 25 erfolgt 

Prozessmessgerat nach einem der Anspruche 1 bis 3, wobei der 
zweite Prozessor einen Programmspeicher umfasst und den 
Programmspeicher mittels einer Prufsumme oder einem CRC 
regelmaflig verifiziert. 

Prozessmessgerat nach einem der Anspruche 1 bis 4, wobei der 
zweite Prozessor weiterhin einen Schreib/Lesespeicher, den der zweite 
Prozessor mittels Testpattem regeimaliig auf statische Fehler 
uberprufen kann. 
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6. Prozessmessgerat nach einem der Ansprflche 1 bis 5, wobei der 
zweite Prozessor einen Schreib/Lesespeicher, welchen der zweite 
Prozessor mittels Prufalgorithmen regelmaliig auf statische Fehler 
iiberprufen kann. 

7. Prozessmessgerat nach einem der Anspruche 1 bis 6, wobei der 
zweite Prozessor die Daten im Programmspeiclier des ersten 
Prozessors mit einem lolcal gespiegelten Speicherbereich vergleicht 
und veriflziert. 

8. Prozessmessgerat nach einem der Anspruche 1 bis 7, wobei der 
zweite Prozessor belcannte Konstanten im Datenspeicher des ersten 
Prozessors durch Vergleich mit lolcal gespiegelten Werten veriflziert. 

9. Prozessmessgerat nach einem der AnsprQche 1 bis 8, wobei der 
zweite Prozessor Konfiguratlonsreglster des ersten Prozessors durch 
Vergleich mit lokal gespiegelten Werten regelmSHig veriflziert. 

10. Prozessmessgerat nach einem der Anspruche 1 bis 9, wobei das 
Prozessmessgerat eine 4.. 20 mA Zweltdraht-Schnittstelle umfasst, und 
wobei eine Watchdog-Schaltung die Funktion des zweiten Prozessors 
und eines zugehorigen Taktgebers uberpruft und im Fehlerfall 
unabhangig von dem ersten Prozessor 21 und dem zweiten Prozessor 
25 iiber den 4. .20 mA Slgnalstrom eInen Fehler signalislert. 
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Zusammenfassung 

Ein Prozessmessgerat mit einem ersten Prozessor 21, welcher in ersten 
Verarbeitungszyklen mit einem ersten Algorlthmus eine 

5 Messwertverarbeitung durclifulirt; und einen zweiten Prozessor 25, welcher 
Koordinations und/oder Kommunilcationsaufgaben wahmimmt. Der zweite 
Prozessor 25 llest in Zeitabstanden, die groBer sind ais der erste 
Verarbeltungszyklus einen Kontrolldatensatz aus dem ersten Prozessor 21, 
und fuhrt anhand des Kontrolldatensatzes den ersten Algorithmus aus urn 

10 die kon-elcte Funlction des ersten Prozessors zu verifizleren. 



(Fig. 2) 
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